TrickBot

31/07/20: Mise à jour ajoutée ci-dessous avec des informations d’Intezer Labs et un lien vers l’exemple de malware. Cet article a été initialement publié le 30 juillet 2020.

La plate-forme de logiciels malveillants Anchor de TrickBot a été portée pour infecter les appareils Linux et compromettre d’autres cibles à fort impact et de grande valeur en utilisant des canaux secrets.

TrickBot est une plate-forme de logiciels malveillants Windows polyvalente qui utilise différents modules pour effectuer diverses activités malveillantes, notamment le vol d’informations, le vol de mots de passe, l’infiltration de domaine Windows et la livraison de logiciels malveillants.

TrickBot est loué par des acteurs de la menace qui l’utilisent pour infiltrer un réseau et récolter tout ce qui a de la valeur. Il est ensuite utilisé pour déployer des ransomwares tels que Ryuk et Conti pour crypter les appareils du réseau en guise d’attaque finale.

À la fin de 2019, SentinelOne et NTT ont signalé un nouveau framework TrickBot appelé Anchor qui utilise DNS pour communiquer avec ses serveurs de commande et de contrôle.

Cadre Anchor de TrickBot
Source: SentinelOne

Nommé Anchor_DNS, le logiciel malveillant est utilisé sur des cibles de grande valeur et à fort impact avec des informations financières précieuses.

En plus des déploiements de ransomwares via les infections Anchor, les acteurs de TrickBot Anchor l’utilisent également comme porte dérobée dans des campagnes de type APT qui ciblent les points de vente et les systèmes financiers.

Le malware de porte dérobée Anchor de TrickBot est porté sur Linux

Historiquement, Anchor était un malware Windows. Récemment, un nouvel exemple a été découvert par Waylon Grange, chercheur en sécurité à l’étape 2, qui montre qu’Anchor_DNS a été porté vers une nouvelle version de porte dérobée Linux appelée «Anchor_Linux».

Chaîne Anchor_linux trouvée dans l'exécutable Linux x64
Chaîne Anchor_Linux trouvée dans l’exécutable Linux x64
Source: Waylon Grange

Vitali Kremez d’Intel avancé a analysé un échantillon du nouveau malware Anchor_Linux trouvé par Intezer Labs.

Infos WEB:  Le groupe énergétique Enel Group subit une attaque de Snake Ransomware

Kremez a déclaré à BleepingComputer que, une fois installé, Anchor_Linux se configurera pour s’exécuter toutes les minutes en utilisant l’entrée crontab suivante:

*/1 * * * * root...

Voir la source de cette publication